セキュリティ問題の深刻度


深刻度

アトラシアンではセキュリティアドバイザリーに深刻度を盛り込んでいます。深刻度はそれぞれの特定の脆弱性について社内で計算される CVSS スコアに基づいて決定されます。CVSS とは業界標準の脆弱性メトリックです。CVSS の詳細については、FIRST.org を参照してください。

  • 緊急
  • 高度
  • 中度
  • 低度

CVSS v3 については、アトラシアンでは次の深刻度システムを採用しています。

CVSS V3 スコア範囲
アドバイザリーでの深刻度

0.1 - 3.9

4.0 - 6.9

7.0 - 8.9

9.0 - 10.0

緊急

以下ではそれぞれに掲げる深刻度にスコア付けされる可能性のある脆弱性をいくつか例示しています。このスコア付けではユーザーのインストール情報を考慮していません。参考としてのみ使用してください。

深刻度: 緊急

スコアが緊急範囲内にある脆弱性では、通常、次の特徴の大半が示されます。

  • 脆弱性が悪用される結果、サーバーやインフラストラクチャ機器がルートレベルで侵害される可能性があります。
  • 通常、悪用は容易で、攻撃者は特別な認証用資格情報や各被害者に関する知識を必要とせず、またソーシャルエンジニアリングなどを通じて標的のユーザーが特別な機能を実行するよう誘導する必要がありません。

緊急な脆弱性については、パッチの適用やアップグレードをできるだけ早急に実行することをおすすめします。ただし、インストールにインターネットからアクセス不能な場合など、他の軽減措置がある場合はこの限りではありません。

深刻度: 高

高度にスコア付けされる脆弱性は通常、次の特徴の一部を示します。

  • 脆弱性の悪用が困難。
  • 悪用の結果、権限が昇格する可能性がある。
  • 悪用の結果、相当のデータ紛失や機能停止が発生する可能性がある。

深刻度: 中

中度にスコア付けされる脆弱性は、通常次の特徴の一部を示します。

  • 攻撃者がソーシャルエンジニアリング手法を通じて各被害者を操作する必要がある脆弱性。
  • 設定が難しい、DoS 攻撃の標的になる脆弱性。
  • 被害者と同じローカルネットワークに攻撃者が存在する必要がある脆弱性。
  • 悪用の結果ごく限定的なアクセスが得られる脆弱性。
  • 悪用が成功するにはユーザー権限が必要となる脆弱性。

深刻度: 低

低度にランク付けされる脆弱性は、組織のビジネスにほとんど影響しません。この脆弱性を悪用するには、通常、ローカルまたは物理的なシステムへのアクセスが必要となります。